Google ha anunciado el lanzamiento de una nueva iniciativa llamada OSS Rebuild para mejorar la seguridad en su ecosistema de paquetes de código abierto y para evitar ataques de la cadena de suministro de software.
«A medida que los ataques de la cadena de suministro continúan apuntando a dependencias ampliamente utilizadas, OSS Rebuild proporciona datos sólidos a los equipos de seguridad y proporciona datos fuertes para evitar compromisos sin poner ninguna carga para los mantenedores ascendentes».
El propósito de este proyecto es proporcionar la fuente de paquetes para todo el Registro de paquetes de paquetes de Python (Python), NPM (JS/TS) y Craates.io (Rust), y planea extenderlo a otras plataformas de desarrollo de software de código abierto.
La reconstrucción del OSS lo ayudará a crear metadatos de seguridad confiables al aprovechar las combinaciones declarativas de definiciones de compilación, equipos de compilación y capacidades de monitoreo de redes. Esto se puede usar para verificar el origen del paquete y para asegurarse de que no se haya manipulado.
«Decidimos y reconstruimos una definición de compilación positiva para el paquete objetivo a través de la automatización y la heurística», dice Google. «Compara los resultados semánticamente con los artefactos aguas arriba existentes y normaliza cada uno para eliminar la inestabilidad que hace que las comparaciones de bit a bits fallen (por ejemplo, compresión de archivo)».
Una vez que se reproduce un paquete, la definición y los resultados de compilación se exponen a través de la fuente SLSA como un mecanismo de prueba que permite a los usuarios garantizar que sus orígenes se verifiquen, repitan el proceso de compilación y personalicen la compilación de líneas de base funcionales conocidas.
En escenarios en los que la automatización no puede replicar completamente un paquete, OSS Rebuild proporciona una especificación de construcción manual que puede usarse en su lugar.
La reconstrucción de OSS señaló por el gigante tecnológico: podría ayudar a detectar compromisos de la cadena de suministro en varias categorías, como -.
Paquetes publicados que contienen código que no está presente en el repositorio de fuente pública (por ejemplo, @solana/web3.js) Actividad de construcción sospechosa (por ejemplo, TJ-Actions/Chandide-Files) rutas de ejecución anormales o operaciones de Spizer están integrados en paquetes que son difíciles de identificar en paquetes que se desafían a identificar a través de revisiones manuales (por ejemplo, XZ Utils)
Además de proteger la cadena de suministro de software, las soluciones pueden mejorar las facturas de materiales de software (SBOM), acelerar la respuesta de vulnerabilidad, fortalecer la confianza de los paquetes y eliminar la necesidad de que las plataformas de CI/CD se hagan cargo de la seguridad de los paquetes para las organizaciones.
«Las reconstrucciones se derivan analizando metadatos publicados y artefactos y se evalúan contra versiones de paquetes aguas arriba», dijo Google. «Si tiene éxito, la prueba de compilación se publica para los artefactos aguas arriba, verificando la integridad de los artefactos aguas arriba y eliminando muchas fuentes de compromiso».
Source link
